セキュリティ事故における人的要因について

みなさま、こんにちは。

本日は、セキュリティ事故における人的要因について考察していきたいと思います。

セキュリティ対策は、技術的な対策、物理的な対策、人的な対策など、様々なマネジメントが必要になります。

先日の兵庫県尼崎市の市民約46万人の個人情報が入ったUSBメモリの一時紛失の報道は、皆様も記憶に新しいのではないでしょう。

紛失したUSBメモリは、その後に発見されたとの事ですが、約46万人の全市民の個人情報を含んでいた事や、そのような情報を簡単に持ち出せる状態であったこと、業務委託におけるずさんな管理体制など、多くの問題が散見される事案となりました。

このようなセキュリティ事故が発生すると、企業や組織、委託事業者等が批判される事となり、企業イメージの低下、信頼の失墜などは避けられません。

場合によっては、損害賠償等に発展し、企業の財務状況に大きな影響を及ぼす事もあります。

参考として、具体的には以下のような損失が考えられます。

セキュリティインシデント発生時の損害

種類具体的損失
費用損害(事故対応損害)被害発生から収束に向けた各種事故対応に関して自社で負担する費用
賠償損害情報漏洩などにより第三者から損害賠償請求がなされた場合の費用
利益損害ネットワークの停止などにより、事業が中断された場合の利益損失
金銭損害ランサムウェアなどによる直接的な金銭の支払い
行政損害個人情報保護法においてめ命令違反等により課される罰金
無形損害風評被害、ブランドイメージの低下

上記のような損失を未然に防ぐ為に、多くの企業や組織においては、情報セキュリティマネジメント体制を構築し、セキュリティポリシーを定め、個人情報保護に関する規定なども制定されている事でしょう。

しかしながら、重要なのは制定する事ではなく、制定したルールが組織に浸透し、且つ正しく運用されているという事が大切です。

今回の兵庫県尼崎市の事案のように、セキュリティ事故は、管理体制の問題や担当者の意識の低さなど、人的要因によって引き起こされる事が多々あります。

制定したルールが正しく運用されているかを定期的に評価し、業務に関わる組織・人員にも教育を徹底する事が大変重要です。

人的要因とはどのようなものなのか?

IPA 独立行政法人 情報処理推進機構より2022年版の情報セキュリティ10大脅威が発表されています。

これを例に考察していきます。

順位脅威
1位ランサムウェアによる被害
2位標的型攻撃による機密情報の搾取
3位サプライチェーンの弱点を悪用した攻撃
4位テレワーク等のニューノーマルな働き方を狙った攻撃
5位内部不正による情報漏洩
6位脆弱性対策情報の公開に伴う悪用増加
7位修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位ビジネスメール詐欺による金銭被害
9位予期せぬIT基盤の障害に伴う業務停止
10位不注意による情報漏洩等の被害

引用:IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/vuln/10threats2022.html

この内容を見ると上位の1位~5位、8位、10位などは、いずれも人的要因によって被害が拡大する要因が含まれています。

例えば、ランサムウェアや標的型攻撃、サプライチェーンの脆弱な部分を狙った攻撃などの多くは、一通のメールから始まるケースが散見されます。

「怪しいメールは見ない」、「添付ファイルは開かない」などのルールは多くの企業で掲げられているかと思いますが、全従業員に対してそのルールが徹底されていなければ、セキュリティ事故に繋がってしまう可能性があります。

また、うっかりそのようなメールを開いてしまった場合についても、被害を最小限に抑える為の対処が正しく運用されていなければ、その後の影響範囲に大きく影響を及ぼします。

5位の「内部不正」や、10位の「不注意による情報漏洩」なども、人的要因によって引き起こされるものです。

なお、4位の「テレワーク等のニューノーマルな働き方を狙った攻撃」は、近年の新型コロナウイルスの拡大に伴い急増してきた問題であり、皆様の多くも様々な課題に直面したのではないでしょうか。

テレワーク体制となり、従業員の業務に関する適切な管理が難しい状況から、例えば本来使用が認められていない個人所有の自宅PCで業務を行った為に、ウイルス感染や情報漏洩などの事故が発生するような事案もあります。

このように、セキュリティ事故は管理体制や適切なルールの制定、従業員の意識向上などが徹底されていれば、未然に防ぐ事が出来るものが多々あります。

ただし、これらをいかに徹底したとしても運用するのは人間ですから100%防止する事は不可能です。

人間が関わる以上、うっかり、不測の事態によるミスなどは起こり得るもの考えておく事も必要です。

そういった場合に備えて、技術的、物理的な安全対策も併せて整備しておき、二重三重の備えを常に心がけておきましょう。

セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。

M&Kでは、これら人的要因対策についても、経験豊富なエンジニア、コンサルタントにてご支援が可能です。

情報セキュリティマネジメント体制の構築や、ルール策定に関するご相談、標的型攻撃メールに対する訓練やセキュリティ講習なども承ります。

教育支援サービス

教育支援サービス

標的型攻撃メール訓練サービス(Security Blanket MT) 企業のセキュリティポリシーに沿った様々なメール訓練を手軽に実施いただけます。 低コストで簡単導入 管理者様の…

何かお悩みの点がございましたら、お気軽にご相談ください。